如今竟这般模样,数千台Linux主机被勒索,该如何打好防御战?

近日,国外安全媒体报道了一款名为Lilocked的Linux勒索病毒,至今已感染6000+台Linux主机,加密后缀为。李洛克。俄罗斯安全研究人员认为,Lilocked很可能是通过Exim邮件转发软件的最新远程执行漏洞CVE-2019-15846传播的。


数千台Linux主机被勒索,该如何打好防御战?

其实这款勒索软件从今年7月中旬就已经出现,只是当时“平庸”,并没有引起公众的关注。但近年来,感染人数突然增多,有爆发感染的趋势。


数千台Linux主机被勒索,该如何打好防御战?

使用谷歌搜索#README.lilocked关键字,大约有6340个结果。也就是说,公网上已经有近6340台已知的Linux主机被这种病毒勒索过,但实际上,被勒索的Linux主机肯定远远超过这个数字,因为还有很多其他主机没有联网,也没有被搜索引擎链接。


数千台Linux主机被勒索,该如何打好防御战?

用zoomeye检测这些主机的端口,发现大部分都有开放的邮件服务,由此推断俄罗斯研究员关于Exim漏洞的说法仍然成立。


数千台Linux主机被勒索,该如何打好防御战?

勒索Tor地址为:y 7 MFR rjkzql 32 nwcmgzwp 3 zxaqktqywvzfni 4m 4 sebt w5 kuhjzqd。洋葱,类似于Sodinokibi,需要输入密钥才能跳转到相应的勒索联系界面。黑客提示你要解密文件,必须发送0.03 BTC到钱包地址1kxvqpwvpczjx 7 te vby 3 xbmefnj 85 keef。


数千台Linux主机被勒索,该如何打好防御战?

那么,Linux下的勒索软件和Windows平台下的勒索软件有什么区别呢?怎么防守?其实不管在什么平台上,勒索软件的工作原理都差不多:

软检测-特定语言国家免疫-生成加密密钥-遍历除系统文件路径以外的目录-用特定后缀加密文件-删除备份文件-退出。

但是Linux勒索软件一般比Windows勒索软件多一步,就是在启动前利用漏洞提升权限,包括这个Lilocked勒索软件,也是利用一个未公开的漏洞,在加密前将自己提升到root权限。下面我们用开源的Linux勒索软件GonnaCry来演示一下有无root权限的操作。GonnaCry的功能比较简单。它用AES算法加密文件内容,然后修改主机桌面。


数千台Linux主机被勒索,该如何打好防御战?

在普通用户权限下,GonnaCry几乎无法完成加密操作,只能加密少数临时文件。


数千台Linux主机被勒索,该如何打好防御战?
Back to Top
风格切换
颜色选择